10 月 11 日,加密行業在這一天里發生了至少 5 起規模較大的漏洞事件,導致損失價值超過 1.16 億美元的加密代幣。
1. Mango
損失:超 1.12 億美元
原因:黑客通過預言機價格操縱從 Solana 生態項目 Mango 中提取資金。
官方發布黑客攻擊過程:
大約於北京時間 10 月 12 日 6:00 遭遇此次攻擊事件:
2 個由 USDC 提供資金的賬戶在 MNGO-PERP 中持有過高的頭寸,各個交易所(FTX、Ascendex)的 MNGO/USD 底層價格在幾分鐘內出現了 5-10 倍的價格上漲,導致 Switchboard 和 Pyth 預言機將其 MNGO 基準價格更新為 0.15 美元以上,進一步導致未實現的利潤使做多 MNGO-ERP 的賬戶價值按市價計算增加,使得允許賬戶從 Mango 協議中借入和提取 BTC (sollet)、USDT、SOL、mSOL、USDC,使得平台上 1.9 億美元等值存款的借貸額度達到了最大值,當時該賬戶提取的凈值約為 1 億美元。
波及影響:
Solana 生態收益聚合器和槓桿收益耕作平台 Tulip Protocol:受影響資金約 250 萬美元
其在 Mango 攻擊事件中的敞口僅限於 USDC/RAY 策略資金庫的一部分,即 2,465,841.497167 USDC 和 66,721.925355 RAY,約合 250 萬美元。
Solana 生態算法穩定幣協議 UXD Protocol:受影響資金近 2000 萬美元
在 Mango 攻擊事件中受影響資金總額為 19,986,134.9037 美元。
UXD Protocol 表示:我們的保險基金足以彌補損失。UXD 是完全受安全保障的,一旦 Mango Markets 從漏洞利用中恢復,用戶將可以贖回。保險基金總額為 53,527,304.7757 美元。UXD Protocol 已暫停 UXD 鑄造以達到風險最小化。一旦我們確認 Mango Markets 的問題得到解決,將重新啟用鑄幣功能。
黑客方面:
令人意想不到的是,黑客在獲得資金之後並未想方設法銷聲匿跡。黑客竟然在項目治理社區發起提案,希望使用 Mango 資金庫中約 7000 萬枚 USDC 償還壞賬,如果此提案被通過,黑客將把賬戶中 MSOL、SOL 和 MNGO 轉入 Mango 團隊發布的地址。同時黑客利用手裡盜取的治理代幣投下了大量“YES”投票
黑客還表示:“協議中剩餘的全部壞賬將由 Mango 資金庫償還,沒有壞賬的用戶將不受影響。任何壞賬都將被視為漏洞賞金/保險,由 Mango 保險基金支付。如果 Mango Token 持有者通過對該提案的投票,就表示同意支付這筆獎金並用資金庫償還壞賬,並放棄對壞賬賬戶的任何潛在索賠,一旦 Token 按上述規則被償還,將不會進行任何刑事調查或凍結資產。”
更新:據派盾檢測(PeckShield)顯示,約 5750 萬美元 USDC 已從 Mango 攻擊者地址轉移到新地址 41 zCUJsKk…TwePu。
2. Rabby Swap
損失:損失大約 20 萬美元
原因:Rabby Swap 智能合約出現漏洞
官方回應:Rabby Swap 智能合約遭受黑客攻擊。官方將在 1 周內為用戶提供令人滿意的解決方案。撤銷所有鏈上所有現有的 Rabby Swap 批准。對於那些沒有使用過 Swap 的人來說,你的錢包是安全且不受影響的。官方整理了一份受影響地址的列表,這些地址仍然獲得了被利用合約的批准。請檢查您的地址是否在列表中,並儘快撤銷 Rabby Swap 的批准。
https://docs.google.com/spreadsheets/d/1zAJrUAWWTmTBl0z9tBYwz96T5FCpGKtkCHxmK2shwLE/edit#gid=0
Rabby 也進行了升級,所有有風險的地址都將收到警告。檢查上面的列表並採取行動,以確保您的地址不再暴露。
3. Paraswap
損失:未知
原因:合約部署地址私鑰泄露。
官方回應:該地址在合約部署后已沒有權限。沒有發現漏洞。
其他回應:
據 Supremacy 安全團隊監測,2022 年 10 月 11 日,paraswap 部署者地址在多個鏈(ETH、BSC、FTM)上發起異常交易,將其地址中的全部餘額轉移至 0 xf35875 a064 cdbc29 d7174 f5 c699 f1 ebeaa407036 地址。經過分析,該地址為 Profanity 漏洞利用者地址,其歷史記錄中有竊取多個靚號地址資產的痕迹。經過排查,目前只有 paraswap 部署者地址自身資產遭到竊取,暫不影響 paraswap 多簽金庫(簽名閾值為 2),但不排除其他多簽地址也由 Profanity 生成,所以多簽金庫也可能存在風險。
4. TempleDAO
損失:約 230 萬美元
原因:Temple DAO 應用 Stax 遭受黑客攻擊。在 StaxLPStaking 合約的 migrateStake 函數缺少權限校驗,導致任意人都可以通過該函數提取合約中的 StaxLP。
官方回應:TempleDAO 的一位貢獻者在該項目的 Discord 頻道中表示,其核心金庫擁有超過 1 億美元的穩定幣,項目運轉不受影響,攻擊者不會造成進一步的傷害,將為所有受影響的用戶進行補償。目前該應用已經停止運行。
5. QANplatform
損失:約 210 萬美元
原因:跨鏈橋智能合約遭受攻擊。攻擊者獲得了以太坊上價值約 96 萬美元資產和 BNB Chain 上價值約 114 萬美元的資產
官方回應:可能會對攻擊前進行鏈上快照,並以此進行代幣空投。
本文鏈接:https://www.8btc.com/article/6781896
轉載請註明文章出處
